Vs de firewall de hardware. Firewall de software (tabelas IP, RHEL)

Minha empresa de hospedagem diz que o IPTables é inútil e não fornece nenhuma proteção . Isso é mentira?

TL; DR
Eu tenho dois servidores co-localizados. Ontem, minha empresa de DC entrou em contato comigo para me informar que, como estou usando um firewall de software, meu servidor é "Vulnerável a várias ameaças críticas à segurança" e minha solução atual oferece "Nenhuma proteção contra qualquer forma de ataque".

Eles dizem que preciso obter um firewall Cisco dedicado (instalação de US $ 1000 e US $ 200 / mês cada ) para proteger meus servidores. Eu sempre tive a impressão de que, embora os firewalls de hardware sejam mais seguros, algo como o IPTables no RedHat oferecia proteção suficiente para o servidor médio.

Ambos os servidores são apenas servidores Web, não há nada de fundamental importância para eles, mas eu usei o IPTables para bloquear o SSH no meu endereço IP estático e bloquear tudo, exceto as portas básicas (HTTP (S), FTP e alguns outros serviços padrão). )

Eu não vou pegar o firewall, se o éter dos servidores foi hackeado, seria um inconveniente, mas tudo o que eles executam são alguns sites WordPress e Joomla, então eu definitivamente não acho que vale a pena.

Os firewalls de hardware também estão executando o software, a única diferença real é que o dispositivo foi desenvolvido especificamente e dedicado à tarefa. Os firewalls de software nos servidores podem ser tão seguros quanto os firewalls de hardware quando configurados corretamente (observe que os firewalls de hardware geralmente são 'mais fáceis' de atingir esse nível, e os firewalls de software são 'mais fáceis' de estragar).

Se você estiver executando um software desatualizado, é provável que haja uma vulnerabilidade conhecida. Embora seu servidor possa ser suscetível a esse vetor de ataque, afirmar que ele está desprotegido é inflamatório, enganoso ou uma mentira em negrito (depende do que exatamente eles disseram e de como foram feitos). Você deve atualizar o software e corrigir quaisquer vulnerabilidades conhecidas, independentemente da probabilidade de exploração.

Afirmar que o IPTables é ineficaz é enganoso, na melhor das hipóteses . Mais uma vez, se a única regra é permitir tudo de todos para todos, então sim, isso não faria nada.

Nota : todos os meus servidores pessoais são alimentados por FreeBSD e usam apenas IPFW (firewall de software embutido). Eu nunca tive um problema com esta configuração; Também sigo os anúncios de segurança e nunca vi nenhum problema com este software de firewall.
No trabalho, temos segurança em camadas; o firewall de borda filtra toda a porcaria óbvia (firewall de hardware); os firewalls internos filtram o tráfego para os servidores individuais ou local na rede (combinação principalmente de firewalls de software e hardware).
Para redes complexas de qualquer tipo, a segurança em camadas é mais apropriada. Para servidores simples como o seu, pode haver algum benefício em ter um firewall de hardware separado, mas bastante pouco.

Executar um firewall no próprio servidor protegido é menos seguro do que usar uma máquina de firewall separada. Não precisa ser um firewall de "hardware". Outro servidor Linux definido como roteador com IPTables funcionaria bem.

O problema de segurança com firewalls no servidor protegido é que a máquina pode ser atacada por meio de seus serviços em execução. Se o invasor puder obter acesso no nível raiz, o firewall poderá ser modificado ou desativado ou ignorado através de um kit raiz do kernel.

Uma máquina de firewall separada não deve ter serviços em execução, exceto o acesso SSH e esse acesso deve ser limitado aos intervalos de IP de administração. Deveria ser relativamente invulnerável atacar, salvo erros na implementação do IPTables ou na pilha TCP, é claro.

A máquina de firewall pode bloquear e registrar o tráfego de rede que não deveria existir, fornecendo um aviso antecipado valioso de sistemas com falhas.

Se seu tráfego estiver baixo, tente uma pequena unidade Cisco ASA como a 5505 . Está na faixa de US $ 500 a US $ 700 e, definitivamente, foi desenvolvido especificamente para esse fim. O co-lo está meio que dando BS, mas as taxas deles para o firewall também não são razoáveis.

Eu acho que também depende do desempenho. O que um firewall baseado em software / servidor faz usando ciclos de CPU, um firewall de hardware pode fazer com chips de uso específico (ASICs) que levam a melhor desempenho e taxa de transferência.

Na sua perspectiva, a diferença real entre os firewalls de "software" (na própria máquina) e de "hardware" é que, no primeiro caso, o tráfego já está na máquina que você deseja proteger, por isso é potencialmente mais vulnerável se algo foi esquecido ou mal configurado.

Um firewall de hardware atua essencialmente como um pré-filtro, o que permite apenas que tráfego específico chegue e / ou saia do servidor.

Dado o seu caso de uso e assumindo, é claro, que você possui backups adequados, a despesa extra seria muito difícil de justificar. Pessoalmente, eu continuaria com o que você tem, embora talvez esteja usando uma empresa de hospedagem diferente.

Tarde para o jogo neste. Sim, o provedor de serviços não tem idéia do que está falando. Se você é um administrador competente do IPTABLES, diria que você é mais seguro do que um firewall de hardware pronto para uso. O motivo é que, quando eu os usei, a boa interface gee-whiz não reflete a configuração real da qual o tráfego é permitido. Os vendedores tentam emburrecer isso para nós, pessoas burras. Eu quero saber sobre todas as possibilidades de cada pacote entrar e sair.

IPTABLES não é para todos, mas se você é sério em segurança, deseja estar o mais próximo possível do fio. Proteger um sistema é fácil - a engenharia reversa de um firewall de caixa preta não é.